La semana pasada hablábamos de la nueva normativa de Protección de datos y su relación con las empresas que tratan datos de salud, centrábamos nuestros esfuerzos en trasladar lo que supone la nueva normativa y sus obligaciones respecto al tratamiento de datos considerados especialmente sensibles por la LOPDGDD/RGPD.

Hoy vamos a hablar de una de esas obligaciones que impone el RGPD cuando se tratan datos especialmente sensibles como son los datos de salud y de la obligatoriedad (o no) de la designación de un Delegado de Protección de datos.

Para comprender la necesidad (o no) de contar con esta figura es necesario saber:

¿QUÉ ES UN DELEGADO DE PROTECCIÓN DE DATOS?

Un Delegado de Protección de Datos (DPD) o “Data Protection Officer” (DPO) es el responsable de velar por el cumplimiento de la normativa sobre protección de datos en la organización.

Será el encargado de supervisar, vigilar y controlar que la normativa sobre protección de datos se cumple en nuestra clínica.

Es importante saber que en caso de que la Agencia Española de Protección de Datos nos impusiese una sanción, el DPD no responde personalmente del cumplimiento de las obligaciones, la sanción recaería sobre nuestro centro de salud.

¿POR QUÉ TENGO QUE CONTAR CON UN DPD?

El RGPD establece en su Art. 37 la obligatoriedad de nombrar un Delegado de Protección de Datos, cuando se den determinadas circunstancias, concretamente para el tema de hoy dice lo siguiente:

“1. El responsable y el encargado del tratamiento designarán un delegado de protección de datos siempre que:

c) las actividades principales del responsable o del encargado consistan en el tratamiento a gran escala de categorías especiales de datos personales con arreglo al artículo 9 y de datos relativos a condenas e infracciones penales a que se refiere el artículo 10”

Debemos recordar que entre los datos de categoría especial que se detallan en el art. 9 del RGPD se incluyen los datos de salud, por tanto, a priori todo el sector sanitario queda afectado por esta obligación.

Pero si leemos con detalle el artículo 37.1 C) Nos damos cuenta de que los requisitos para tener que nombrar un DPD son en realidad tres:

  1. Que tratemos datos a gran escala
  2. Que los datos tratados sean de categoría especial (datos de salud)
  3. Que estemos en el marco de nuestra actividad principal.

Los dos últimos están claros, pero ¿Qué quiere decir “tratamiento de datos a gran escala”?

Ni el RGPD ni la Agencia de Protección de Datos nos indican de manera exacta cual es la cantidad de datos que se consideran a gran escala, la doctrina en este punto se limita a indicarnos que dependerá de cada caso concreto y para ello será necesario llevar a cabo una evaluación de impacto que determinará que debemos hacer.

¿EXITE UN LISTADO DE ENTIDADES QUE DEBEN CONTAR CON UN DPD?

Ante las dudas sobre la obligatoriedad de nombrar un DPD, la nueva LOPDGDD enumera un listado de entidades que sí o sí deben contar con un DPD. Así en el art. 34 de la nueva LOPDGDD nos encontramos lo siguiente:

“1. Los responsables y encargados del tratamiento deberán designar un delegado de protección de datos en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/679 y, en todo caso, cuando se trate de las siguientes entidades:

l) Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes.

Se exceptúan los profesionales de la salud que, aun estando legalmente obligados al mantenimiento de las historias clínicas de los pacientes, ejerzan su actividad a título individual.”

Llegado a este punto es necesario saber que es un centro sanitario:

El R.D. 1227/2003 de 10 de octubre, por el que se establecen las bases generales sobre autorización de centros, servicios y establecimientos sanitarios, define a los centros sanitarios en su Art. 2.1.a) como:

“conjunto organizado de medios técnicos e instalaciones en el que profesionales capacitados, por su titulación oficial o habilitación profesional, realizan básicamente actividades sanitarias con el fin de mejorar la salud de las personas. Los centros sanitarios pueden estar integrados por uno o varios servicios sanitarios, que constituyen su oferta asistencial.”

En el Anexo I y Anexo II de la citada norma, encontraremos el listado completo y detallado de lo que la legislación española actual considera como centro sanitario. El listado es el siguiente:

Si legalmente te encuentras incluido en el listado anterior (salvo las consultas de médicos individuales) tendrás la obligación de contar con un Delegado de Protección de Datos.

¿QUÉ FUNCIONES TIENEN UN DPD?

Conforme el RGPD y la LOPDGDD, un DPD tiene la obligación de:

A.- Informar y asesorar a la entidad y a sus empleados sobre las obligaciones en materia de protección de datos y la legislación aplicable.

B.- Supervisar el cumplimiento de la normativa incluido la asignación de funciones y la formación.

C.- Asesorar en la realización de Evaluaciones de Impacto sobre protección de datos.

D.- Actuar como interlocutor de la entidad ante la AEPD.

E.- Atender las reclamaciones previas de los interesados.

F.- Atender en primera instancia las reclamaciones contra la entidad presentadas ante la AEPD.

Desde Orts Consultores os presentamos distintas soluciones, adaptadas a las características concretas de cada caso, para cumplir con las numerosas modificaciones del RGPD/LOPDGDD que exigen un alto grado de diligencia por parte de los responsables de tratamiento y se basan en un compromiso proactivo con la normativa de Protección de Datos Personales, todo ello para evitar posibles sanciones por parte de la Agencia Española de Protección de Datos, así como daños a la reputación de la empresa.